ossf/wg-supply-chain-integrity

# 供应链完整性工作组 ## 目标 供应链完整性工作组（WG）的目标是为协作提供一个全球社区，帮助个人和组织评估和改进开源软件端到端供应链的安全性。 ## 动机 供应链问题和攻击在全球范围内造成重大损失，包括收入损失、勒索软件支付成本、缓解成本、无法访问资源、客户信任下降以及公共欺骗。作为公共信任问题，各国政府开始强制采取行动以提高供应链的安全性和完整性。[美国白宫关于改进国家网络安全的行政命令](https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/) 就是这样一个例子。 ## 通信 我们有一个公共邮件列表，访问地址如下：https://lists.openssf.org/g/openssf-supply-chain-integrity 查看 Google Groups 以获取过往存档：https://groups.google.com/forum/#!forum/ossf-wg-developer-identity 您也可以加入我们的 Slack 频道：https://openssf.slack.com/messages/wg_supply_chain_integrity ## 会议时间 工作组每隔一个周三上午 9 点（太平洋时间）开会。公共日历可供访问：https://calendar.google.com/calendar/embed?src=s63voefhp5i9pfltb5q67ngpes%40group.calendar.google.com&ctz=America%2FLos_Angeles 请订阅日历以获取会议详情。 ## 会议记录 会议记录和议程在 [Google Drive](https://docs.google.com/document/d/1moVFPn5pLi-uGs840_YBCrwdpHajU0ptFmlL4F9GryQ/edit) 上提供。 ## 文档 * [用户故事](https://docs.google.com/document/d/1_TQizML8sXAm3OdoNA_plihZ14OHng_XRvJXKv_o_bs/edit?usp=sharing) ## 活动 * [软件制品供应链级别（SLSA，发音为 “salsa”）](https://slsa.dev/) - 也请参见 [SLSA 仓库](https://github.com/slsa-framework/slsa) * [SLSA 工具项目](slsa-tooling.md) * [可重复安全创建制品工厂（FRSCA，发音为 "fresca"）](https://buildsec.github.io/frsca) - 也请参见 [FRSCA 仓库](https://github.com/buildsec/frsca) * [安全供应链消费框架（S2C2F）](https://github.com/ossf/s2c2f) * 供应链完整性定位特别兴趣组（SIG） * [gittuf：为 Git 仓库提供安全层](https://github.com/gittuf/gittuf) * [用于理解制品组合的图形（GUAC）](https://guac.sh) - 也请参见 [GUAC 仓库](https://github.com/guacsec/guac) * [Zarf：向断开连接的系统安全交付软件](https://zarf.dev) - 也请参见 [Zarf 仓库](https://github.com/zarf-dev/zarf) 旧活动（作为数字身份认证工作组）： * [前数字身份认证工作组说明](https://github.com/ossf/wg-supply-chain-integrity/blob/0804679461f7ed288d50d70da7ae9c7152b1e51d/README.md) * [回顾](https://openssf.org/blog/2021/01/27/digital-identity-attestation-roundup/) ## 治理 该工作组目前由临时联合主席 Nicole Bates、Justin Cappos 和 Michael Lieberman 主持。 工作组运营与 OSSF 技术咨询委员会（TAC）提供的标准操作指南一致。 [TAC](https://github.com/ossf/tac)。 流程和角色的完整详细信息请参考 [治理 README](/governance)。 新的 SCI 工作组章程可从 [治理章程](/governance/CHARTER.MD) 阅读。 ## 反垄断政策声明 Linux Foundation 会议涉及行业竞争对手的参与，Linux Foundation 意图在所有活动中遵守适用的反垄断和竞争法律。因此，参与者必须严格遵守会议议程，并注意、不得参与任何违反适用美国州、联邦或外国反垄断和竞争法律的行为。 Linux Foundation 会议上禁止的行为类型在 [Linux Foundation 反垄断政策](http://www.linuxfoundation.org/antitrust-policy) 中有详细说明，该政策可在上述链接查看。如有任何问题，请联系您公司的法律顾问；如果您是 Linux Foundation 成员，也可以联系 Gesmer Updegrove 律师事务所（为 Linux Foundation 提供法律顾问服务）。

标签：Google Drive文档, Slack社区, SLSA, 代码溯源, 会议日程, 信任建立, 公开邮件列表, 动态调试, 可信供应链, 安全决策, 安全协作, 安全治理, 完整性, 开源治理, 开源维护者, 开源贡献者, 政府法规, 终端用户, 网络安全执行令, 软件供应链